Conquistare la fiducia dei consumatori è essenziale per qualsiasi attività online. Questo vale in particolare per le piccole aziende che non hanno i nomi familiari delle grandi catene e la reputazione che ne consegue. I consumatori europei non sono a loro agio quando si tratta di sicurezza online e temono che i loro dati personali possano cadere nella mani degli hacker, pertanto è ragionevole presumere che possano essere meno inclini ad acquistare presso i piccoli negozi online per timore che i loro dati vengano usati impropriamente.
Come titolari di un e-store, sta a voi comunicare ai vostri clienti che avete davvero a cuore la loro privacy e la loro sicurezza. In questo modo potrete costruire la credibilità della vostra attività e a rassicurare i visitatori del vostro sito che stanno trattando con un’azienda legittima. La politica per la privacy e la sicurezza dovrebbe descrivere le misure adottare per proteggere i dati e spiegare, con un linguaggio semplice, in che modo i dati raccolti saranno o non saranno utilizzati.
Le certificazioni indipendenti o “privacy seal”, come quelle offerte da EuroPriSe (European Privacy Seal) e Ttuste, rassicurano i clienti che non fornirete i loro dati privati a terzi senza il loro consenso. Molti titolari di negozi on-line considerano la sicurezza e la privacy dei dati come delle seccature. Ma i consumatori apprezzano le società che danno valore alla loro privacy e dimostrano il loro apprezzamento sotto forma di acquisti reiterati.
Sono sei le misure per tutelare la privacy dei clienti.
Primo: bisogna accertarsi della reputazione dei fornitori e venditori. Nei contratti bisogna prevedere clausole per la sicurezza e la privacy.
Secondo: bisogna procurarsi un certificato Ssl (Secure Sockets Layer), essenziale per la protezione dei dati sensibili trasmessi via Internet, quali gli estremi di pagamento introdotti dai clienti. Il certificato è attivato quando il cliente accede al sito mediante url che inizia con “https”. Con l’Ssl vengono criptati sia il modulo di trasmissione contenente i dati personali sia le informazioni ritrasmesse al browser del cliente una volta inviato il modulo.
Terzo: limitare la raccolta di dati. Bisogna raccogliere solo i dati personali necessari affinché i visitatori possano interagire o accedere a prodotti e servizi, e conservarli solo per il tempo necessario ai fini delle attività o conformemente alle disposizioni delle direttive Ue in materia.
Riguardo alle informazioni sulle carte di credito, la prassi migliore è non archiviarle. Questa politica si può attuare ricorrendo a portali indipendenti di pagamento in tempo reale, come Moneybookers, Ogone o PayPal, che gestiscono i pagamenti per conto terzi.
Quarto: è necessario mantenere aggiornati i software controllando e installando regolarmente update e patch, in particolare quelli relativi alla sicurezza.
Quinto: l’accesso alle informazioni relative ai clienti e ai pagamenti va consentito solo alle persone che ne hanno effettiva necessità per il loro lavoro. È bene quindi archiviare i dati sensibili su computer separati, appositamente dedicati, tenendo un registro di ogni accesso a tali dati.
Sesto: divulgare dati il meno possibile.
Non bisogna trasferire più dati del necessario al momento di condividerli fra il sito ed altre applicazioni, ad esempio un software di contabilità o una mailing list. Se non serve un numero di carta di credito per inviare un’e-mail al cliente, non va scaricato. Trasferire informazioni non necessarie comporta una duplicazione di dati in diverse localizzazioni online, che li rende più vulnerabili ad eventuali attacchi.
Marc Lampo, Security Officer presso EURid, il registro dei nomi a dominio .eu
